Luca Colantuoni,

Circa un anno fa, Intel ha lanciato il Bug Bounty Program, un’iniziativa che permette di trovare più rapidamente eventuali vulnerabilità hardware e software con l’aiuto dei ricercatori di sicurezza. Il chipmaker di Santa Clara ha ora comunicato che il programma è accessibile a tutti. Inoltre è stato ampliato il numero di prodotti e soprattutto sono previste ricompense più alte (fino a 250.000 dollari).

Intel spiega che il modo migliore per proteggere gli utenti è divulgare le vulnerabilità in maniera coordinata. Solo così si evita la pubblicazione dei dettagli prima del rilascio delle patch. Lo scopo del Bug Bounty Program è proprio quello di incentivare la comunità di ricercatori a condividere le loro scoperte con Intel nel minor tempo possibile, in cambio di una somma di denaro commisurata alla gravità dei bug. Il programma è stato quindi esteso a tutti gli esperti di sicurezza, non solo a quelli che hanno ricevuto un invito.

In realtà i programmi sono due. Uno, permanente, prevede ricompense per tre categorie di vulnerabilità scoperte in hardware, firmware e software fino ad un massimo di 100.000 dollari. Il premio in denaro viene stabilito in base alla gravità del bug (bassa, media, alta e critica). I punteggi vengono assegnati seguendo il CVSS (Common Vulnerability Scoring System) 3.0. Il secondo programma è invece temporaneo e scade il 31 dicembre. In questo caso sono premiati i ricercatori che scoprono vulnerabilità di tipo “side-channel” con un massimo di 250.000 dollari.

I tre famosi bug individuati nei processori Intel, ovvero Meltdown e Spectre (varianti 1 e 2) hanno una gravità media (punteggio 5,6), quindi chi li ha scoperti (il team Project Zero di Google) avrebbe ricevuto 60.000 dollari in totale.